风险导向内部审计在我国的应用

摘 要：风险导向内部审计是一种关注和控制组织风险,帮助组织增加价值的新的内部审计模式.本文对风险导向内部审计的研究现状、理论和社会基础进行了研究,对我国实行风险导向内部审计的必要性和难点进行了探讨,并就该审计模式在我国的应用提出了相关建议.

关 键 词：风险导向内部审计推广研究

风险导向内部审计是一种关注和控制组织风险,帮助组织增加价值的新的内部审计模式.20世纪90年代后半期,国外学者开始致力于风险导向内部审计的研究.2000年后,风险导向内部审计模式的理论引入我国,因为与传统被动式的审计模式有突出区别而引起我国学术和实务界的关注.如强调审计目的为组织增加价值；以实现组织目标为自身的目标；关注组织的战略决策,用管理层的方式进行思维；强调审计双方的协作关系；拓展审计范围,将风险作为审计焦点；注重与管理当局的伙伴关系；强调审计的“客观性和独立性”兼顾等.当前,风险导向内部审计在发达国家的内审实践中日益得到普遍应用和不断完善,但在我国的应用状况却不乐观.本文拟对此进行探讨.

一、风险导向内部审计研究现状及理论基础

（一）风险导向内部审计研究现状1996年,IIA研究基金会为了建立统一的内部审计全球性框架,发布了《内部审计的未来：特尔菲研究》的报告,提出要建立注重风险防范、提供增值服务、帮助组织实现目标的内部审计发展方向.1997年,IIA成立了一个负责研究内部审计准则新框架的核心工作小组.根据该小组提交的内部审计职业准则新框架,IIA在2001年底发布了著名的《内部审计实务标准》.《标准》认为内部审计应采用一种系统化、规范化的方法来对组织的风险管理、控制及监督过程进行评价,以提高组织效率,实现组织目标.风险导向内部审计改变了原先以检查历史记录和评价组织运营情况为主的审计方式,转变为更加关注组织面临的风险和如何增加组织价值.随着我国公司治理力度的加大以及相关法律法规的颁布实施,风险导向内部审计模式得到了我国学者的重视和研究.如王光远（2002年）对内部审计如何应对企业风险预防和监控提出自己的观点；严晖（2004年）从系统论与控制论出发,探讨风险导向内部审计对公司治理及内部控制所发挥的整合和反馈作用；王晓霞（2004年）研究了风险导向内部审计的实施程序,包括编制审计计划、选择被审计者、审计目标与测试、审计发现与审计报告、后续审计等.郭群（2006年）提出内审师要首先系统地分析、识别、衡量企业面临的风险,按照风险的高低,制定年度审计计划,确定被审计对象的先后顺序.我国实务界也就各行业实施风险导向内部审计理论和模式进行了较多的探讨.但在我国企业中,风险导向内部审计实施的比例和程度都较小,企业常常是按照法规的要求被动进行,很少出于自身考虑主动实施.同时,内审人员缺乏风险管理知识和意识,也影响我国风险导向审计模式的作用发挥.

（二）风险导向内部审计理论基础（1）受托责任的履行对风险导向内部审计模式产生直接推动.20世纪初,股份公司制所有权和经营权的分离促使企业独立内审机构的出现,并使财务导向的内部审计得以开展.当时企业内部受托财务责任的履行情况是通过财务报表得以体现,因此当时内部审计的重点由财产、资金保管的安全性和账簿的验证转向了财务报表的审查.1947年,IIA出台了第一号《内部审计师责任说明书》（ThestatementofResponsibilitiesofInternalAuditor,简称SRIANO.1）认为：内部审计目标是帮助管理者有效管理组织业务活动,保护及增加公司利益.1971年IIA颁发了SRIANO.3认为,内部审计是组织审核内部经营的独立评价和管理控制活动,以衡量和评价控制控制的有效性.这标志着业务导向内部审计的开始.20世纪中后期,复杂的外部环境使得管理者出现决策失误和控制不当的概率增加,决策失误往往对企业有全局性影响,于是决策成为管理中的核心因素.内部审计在注重业务导向的同时,也进入了管理导向阶段.管理导向内部审计旨在帮助管理层明确决策方向,增强决策效果,提高组织竞争力.在技术上强调“人性化”,即要与公司的管理层以及被审计单位保持良好的人际关系,采用“参与式审计”的形式,又要以系统的、动态的眼光看待管理,充分考虑外部关联方的影响和组织的社会责任.特别是审计委员会制度的建立更强化了以管理为受托责任的内部审计的开展.20世纪90年代,科技的发展导致管理理论与实践发生了丰富的变化,如质量管理、战略管理、企业文化管理理论都有了新的演进,各国也出台各种涉及公司治理、内部控制以及风险管理的法规.IIA出台以风险为主导的内部审计实务标准正是适应了防范风险的受托责任观的转变.（2）管理理论的发展为风险导向内部审计提供了坚实的理论基础,主要有：一是委托理论.科斯（Coase）1937年提出“企业是生产要素的一组契约”的观点,引发了最早的委托理论.该理论认为,企业是由构成企业的各利益相关主体（包括外部的债权人、关联交易商、客户、内部股东、经营管理者和员工等）组成的共同组织,是他们之间缔结的一组契约的联结.为了防范委托人和人之间的信息不对称,确保人的行为不偏离或损害委托人的目的和利益,委托人必须采取相应措施对人行为进行控制.这是内部审计即发挥监督作用,也承担人角色的理论根源.二是“纳氏均衡”理论.1994年约翰纳什提出了“纳氏均衡”理论,认为组织战略虽然是由单个人的最优战略组成,但并不意味着是一个总体最优的结果.在个人需求与集体需求冲突的情况下,追求自身的利己行为可能导致对所有人都不利的“均衡”结局.因此,合作才是最有利的“利己策略”.根据该理论,企业内部各机构只有目标一致,相互了解,才能使企业实现最终目标.因此,内部审计不应在组织内部扮演“”角色,而应与各部门相互合作.三是支持关系理论.伦西斯利克特（RensisLikert）提出在一个大的组织系统内建立起发挥“连接点功能”的组织来协调各子系统的活动.该理论强调每个组织成员的工作都是不可或缺,而内部审计就是这些成员间最重要的“连接点”之一.风险导向内部审计,由于其目标与组织相同,理应承担维持组织整体性的“连接点”作用,实现企业高效运作.四是权变学派理论.该理论强调在管理中要根据组织所处的内外部条件随机应变,寻求最合适的管理模式或方法.据此,风险导向内部审计必须思路广阔,审时度势,了解组织的活动与外部环境的适应性,并据此提出自己的建议.五是战略管理理论和风险管理理论.迈克尔波特以及20世纪60年代初,安东尼、安索夫和安德鲁斯的“3安范式”为代表的战略管理理论,迈克尔哈默及詹姆斯钱皮的企业再造理论也对风险导向内部审计产生较深影响.他们强调要适应多变和多样化的环境,从战略层面和风险层面重新审视现有的管理实践,关注未来和价值增值.（3）相关法规的出台也为风险导向内部审计的推广垫定了基础.20世纪90年代,公司治理、内部控制及风险管理的研究进入了较为成熟的阶段,各国纷纷出台各种规范.在公司治理方面,先后颁发了Cadbury报告、Greenbury报告、Hampel报告、Turnbull报告等；在内部控制方面,1992年,COSO委员会发布了“内部控制整体架构”；在风险管理方面,2001年加拿大颁布了整体化风险管理框架；2002年美国政府颁布了萨班斯一奥克斯利法案；几大国际会计师事务所如安永、普华永道都发布了风险管理指南；COSO委员会2004年发布了《企业风险管理框架》（EnterpriseRiskManagementFramework,ERM）.这些法规突出了风险管理和公司治理、内部控制的关系,充分反映了风险理念对公司治理和内部控制的影响,强调了管理层对风险的关注,一定程度上完善了 风险导向内部审计的运作环境.

二、我国风险导向内部审计的现状及应用必要性

（一）我国风险导向内部审计的现状（1）我国内审机构的建立行政色彩鲜明.内部审计是国家审计在企事业的延续和补充,并在国家审计的业务指导和监督下开展工作,行政色彩浓厚.内审机构既要接受国家审计机关的业务管理,维护国家利益,又要在本单位领导下开展工作,造成既非政府审计、也非社会审计的模糊身份.单位决策层普遍认为内部审计是因行政命令而设,并非自身管理所必需,很少重视完善风险导向内部审计的工作环境.（2）内审人员素质难以满足风险导向审计要求.风险导向内部审计是识别、评价和控制风险,增加企业价值的综合性经济分析活动,对内审人员知识和技能要求很高,要具备财务、审计、管理、法律、金融、工程、信息等多科知识,熟悉企业生产经营环节,掌握定量分析方法和计算机审计技能.而目前我国内审人员还不具备开展风险导向内部审计所要求综合素质,在知识面、学科结构上欠缺；审计方法简单,理论和实践技能不强；并且具有CIA资格的内审师匮乏.如我国内审人员大多所学审计和会计专业,适合开展账项和制度基础审计,在改善单位经营管理、加强风险的应对、增加企业价值等方面还存在很大不足.但在西方,内部审计人员的专业构成是1/3经济管理专业,1/3工程技术专业,1/3其他专业.并且内部审计以管理审计为主,财务审计和遵循性审计为辅.1989年美国公用事业行业企业内部审计只有19%的时间用于财务审计,其余时间都转向经营审计.（3）内部审计管理方法落后、风险管理体系不完善.与国际先进企业大量运用数理统计模型、金融工程等先进方法进行风险管理相比,我国风险管理方法较为落后,大多采用定性分析法.不能恰当地预测、识别、评估和应对风险,进而影响企业目标的顺利实现.我国企业尚未建立起完善的风险管理体系,风险管理活动往往是按照法律法规的要求被动进行,并非出于企业自身考虑主动进行.据调查,80%的被调查单位不存在专门的风险管理机构；35%的被调查单位由总裁来监督风险管理活动；68%的被调查单位不存在正式的风险管理活动；60%的被调查单位对风险的管理仅限于按照法律法规的要求购买一些强制性保险,而很少系统地考虑防范风险的措施.这显然不能满足企业在激烈竞争和多风险环境中求发展的要求.（4）内部审计缺乏相对独立性.我国内审机构因国家干预和推动而建,组建欠规范,审计机构和人员缺少相对独立性的状况突出.内审机构的工作经费和人员的工资、福利都受本单位负责人支配,以致当领导的经营行为违法违规或不合理时,内审人员顾虑重重,难以履行监督和评价职能；在制定审计计划、实施审计程序、出具审计报告时常受到各方面牵制,难以开展独立的审计活动.在审计项目的选择上,西方内部审计采用系统选择法、示警事项法以及应被审计者的要求选择.系统选择法是基于对企业风险的评估和排序的选择,是西方最主要的选择审计项目方式.而我国组织选择内审项目时,被动接受管理层的指示和安排占了很大比重.

（二）我国应用风险导向内部审计的必要性目前我国大部分企业的内部审计仍然采用帐项基础审计和制度基础审计模式.而这两种审计模式由于本身固有的缺陷使得内部审计的审计效率低下、审计结论缺乏可操作性.在帐项基础审计模式下,审计人员将精力放在被审计单位会计记录及其有关凭证的审查上,而较少分析产生财务报表结果的过程、原因和对策.该模式只能适用于一些小规模企业的财务审计,难以用于较大规模的企业.在制度基础审计模式下,内审人员注重对内部控制的审查,通过制定计划进行符合性测试和实质性测试,对企业内部控制做出评价,并向管理层提出改进措施.然而该模式以被审单位内控制度的执行为审计重点,而不是根据内控制度要实现的企业目标为审计依据,可能会导致审计结论脱离企业目标；其次,该模式主要关注如何加强内控系统,会导致内控系统越来越严密而僵化；此外,该模式着眼于对过去和当前的经济活动进行审查和评价,导致审计效果滞后.风险导向内部审计依据风险立项,关注风险,测试风险,控制风险.将风险分析评价、建议结论紧紧围绕如何控制风险、增加价值开展,使内审宗旨简单直接.传统的内部审计无法有效地为组织增加价值,影响内审本身在组织中的地位.与此同时,外部审计扩展服务领域,将风险评估、会计咨询、投资及管理咨询等业务纳入自己的工作范围,向企业提供咨询服务.企业为了节省成本和开支,也不断地削减内审机构或部门,将内审业务外包.内部审计外部化客观上动摇了内部审计在组织中的地位,威胁内部审计的职业生存.在这种危机面前,内部审计积极为整个组织提供风险咨询服务,推行风险导向审计模式,重新树立了内部审计高于外部审计的指导优势,巩固了职业生存空间.

三、我国实施风险导向内部审计对策

（一）建立相关完备、健全的法律规范体系根据2003年5月1日起施行的《审计署关于内部审计工作的规定》,中内协制定了《内部审计基本准则》、《内部审计人员职业道德规范》和10个具体准则.至今,中国内部审计协会己经颁布了27个内部审计具体准则.这些规章发挥了一定作用,但与内部审计的发展要求还相差甚远.与最新的IIA准则和国际内审惯例相比,中内协对内审规章引入风险导向观念的程度和范围仍不充分.IIA的“风险管理”、“增加价值”、“咨询”、“控制自我评估”、“审计委员会”等概念,在中内协的准则中,未予引入.因此,当前急需建立起一套完备、健全的法律规范,从制度层面保障风险导向内部审计在我国的顺利开展.

（二）推广以风险导向内部审计为辅助的混合审计模式风险导向审计模式的产生,并不意味着原有审计模式的淘汰.在当前审计中,既不能缺乏风险导向的审计意识,也不能单独推崇风险导向审计而排斥账项基础审计和制度基础审计,而应根据实际情况,使用混合内部审计模式.例如将账项基础审计为主,风险导向内部审计为辅的混合模式应用于高风险企业或家族企业.将制度基础审计为主,风险导向内部审计为辅的混合内审模式应用于生产规模大、经营广泛的大中型企业和跨国公司等.因为设计良好,执行有效的制度、账项基础内部审计也能很好的满足审计目标,所以为了适合我国经济发展状况和企业治理结构所需,我国审计实务界当务之急是汲取国外内审经验,逐步引入和应用风险导向内部审计的理念,开发出适合我国企业现状、以风险评估为中心的混合审计程序和模式,以促进我国内审事业发展.

（三）采用多样化的风险评价方法审计人员需要将所关注的风险控制目标、程度、有效性和影响等与管理层进行有效的沟通.如何将风险情况准确反馈给管理层需要一个较好的风险评价方法.一是内部控制自评.即内部审计帮助管理层对本单位内控的合理性、有效性进行评估,反映当前管理控制中存在的问题,明确管理责任,更好的促进企业发展.该方法可减少工作量、节省审计工作时间.二是利用网络收集风险数据,设立风险指标.内审人员收集企业内外部信息资料,建立数据库,利用一定的指标把企业面临的风险量化,以评价风险,达到控制和预防的目的.

（四）转变内部审计观念随着现代公司制企业的迅速兴起,内部审计不再仅是强化控制、提高控制效率和效果,而是转向规避风险、转移风险和控制风险,通过风险管理的有效化,提高企业整体管理效率和效果.我国内部审计应当尽快更新观念,转换角色,加强与组织各部门的配合和沟通,为内部审计积极参与风险管理奠定基础.

（五）兼顾内部审计的客观性和独立性独立性通常被认为是内部审计最为重要的属性,但是内部审计的独立性存在固有局限,无法从根本上实现“超然独立”.对“独立”属性的过于强调会导致内部审计人员与组织其他部门之间的敌对关系,内部审计“咨询顾问”、“业务伙伴”的角色也就无法体现,所以要在强调内部审计独立 0340;同时,更加注重客观性.IIA2001年颁发的内部审计定义中用“独立、客观”取代了此前六十年所有定义中都没有改变的“独立”.“独立”指内部审计机构的独立性,“客观”指内部审计人员的客观性.机构的独立性要求内部审计机构在报告结果时必须独立,在确定审计范围、实施审计程序、报告审计结果时不受干扰.客观性要求内部审计人员必须有公正的态度,不偏不倚,避免利益冲突.

（六）提高内部审计人员的胜任能力IIA1999年发布“内部审计人员胜任能力框架”的研究报告CFIA（TheCompetencyFrameworkforInternalAuditing）认为,风险导向内部审计的关注点的变化,带动内审人员知识技能和行为技能的提高.当前要积极提升我国内审人员胜任能力,一要具备广博的知识和多元化技能,熟悉行业、市场、产品竞争等外部环境和单位内部各职能、流程的全貌,具备战略管理和风险管理的基本知识,具有分析和应用能力的综合素质；二要有面向未来的积极态度及风险防范意识,具有洞察评估风险（自身审计风险和单位整体风险）,主动收集信息评估战略、政策、财务、领导等各类风险,运用分析程序,设计审计测试方案,寻找促进组织增值的途径；三要具有全局意识,能够提交具有建设性意见的内审报告,促进单位由过程管理、行为管理向文化管理、战略管理转变；四要具备处理人际关系的能力和技巧,与组织内各层级管理者建立良好的正式关系,注重培养内审人员良好的职业心态及行为能力；五要加强后继教育和理论研究.对内审人员进行定期培训,特别是风险导向内部审计对单位的效益和投资决策的影响要重点学习和研究,注重把实践经验总结提炼、交流推广.

（七）创新内部审计的技术和方法依托信息网络技术,构建内部审计信息化的网络平台,在平台上通过计算机网络信息交换提高审计效率和质量,降低审计风险；改变传统审计方法,充分利用风险评估、内控测试等先进的审计方法；改善内部审计人员的构成,不仅要有精通财务和审计的人才,还应配备熟悉企业各项相关业务的专门人才；加强对内审人员的后续教育,使其及时地更新知识,掌握新的技术和方法,不断提高自身的专业水平和职业判断能力.会计电算化的普及,加快了审计信息化进程,计算机审计成为未来审计的重要方向.计算机审计能比手工更迅速有效的完成审阅核对、分析比较等各项工作,能对内部财务系统及会计工作实施有效的监控与评价,对各种资金、资产进行密切跟踪,从而得以评估和控制风险.然而,目前我国采用计算机审计才刚刚起步,认识不到位,计算机内部审计还没有推广.我国要积极开发使用电算化审计软件,完善计算机辅助审计系统和数据库；内审部门要配备或外聘专门信息技术人员,加大对内审人员的计算机技能培训,不断深化并拓宽培训内容.